中華龍網DragonSoft Web Protector

我們常聽到某某網站的首頁被置換，或某公司的網站被攻擊，導致電子商務停擺。中華龍網為了應付層出不窮的網站攻擊事件，繼去年推出弱點評估軟體DragonSoft Secure Scanner後，今年再度推出網站伺服器保護軟體DragonSoft Web Protector，能夠防止駭客入侵IIS網站伺服器，避免遭受木馬、DoS或資料隱碼（SQL Injection）等攻擊，確保企業網頁不被竄改，或成為攻擊的跳板。

DragonSoft Web Protector採用過濾保護機制，當系統分析出該行為對IIS網頁伺服器具有攻擊性時，會進行過濾並偵測惡意行為的來源，然後將這些行為紀錄在系統中，目前支援的IIS網頁伺服器版本有4.0、5.0及5.1。系統能辨識的入侵行為有資料隱碼、緩衝區溢位（Buffer Overflow）、Shell Command、HTTP Method、Encoding Attack及Directory Traversal等攻擊。

Web Protector的操作介面與Secure Scanner相似，以簡單、全中文為訴求，管理者用滑鼠勾選就可完成大部分的設定，很容易就能上手，若管理者遇到問題可以立即查閱線上中文使用手冊。安全介面的設定包含緩衝區溢位、HTTP指令、目錄允許、關鍵字串過濾、ShellCode保護、開拓保護、資料隱碼過濾、錯誤記錄等8種類型，除了上述的過濾條件可以勾選，系統也予許使用者自行制定過濾條件。

幾乎所有的資料庫都用SQL做為標準的資料查詢語言，因此大部分的網站也是用SQL語言所撰寫的程式碼來存取或查詢資料庫，但許多網站在撰寫網頁程式碼時，並沒有驗証使用者輸入的資料，而讓駭客有機可乘，資料隱碼就是其中之一。由於這種方式並非透過病毒或一般攻擊手段，而是輸入具破壞性的程式碼，因此當Web Protector接收到會判別錯誤的SQL指令，例如「OR 1=1」、「UNION SELECT」或宣告等字串，就直接過濾不予執行。

Web Protector 能夠辨識出 Directory Traversal 攻擊，並加以過濾阻擋，以娜坦病毒（Nimda）為例，它是一種利用電子郵件、網路分享及IIS漏洞來散布的蠕蟲，它會尋找有Unicode Directory Traversal安全漏洞的IIS伺服器，並更改伺服器上的網頁內容，當使用者瀏覽這些網頁後，IIS伺服器會繼續將蠕蟲傳送出去，但卻逃不過Web Protector的偵測。

除此之外，當駭客對IIS伺服器送出含不正常字串或HTTP 攻擊性指令，可能會導致緩衝區溢位、重要資料外流，甚至系統當機等風險，DragonSoft Web Protector會自動辨識出這些惡意攻擊。例如「http://www.ithome.com. tw/scripts/..％5c../winnt/system32/ cmd.exe?/c+dir」字串包含「system32」及「cmd.exe」等關鍵字，系統會加以過濾，並顯示警示頁面。

並不是每個網站伺服器的目錄都可以任意讀取或更改，尤其是包含重要設定和機密資料的目錄，這時管理者可以利用目錄允許功能，在目錄允許項目中加入要保護的目錄，當有使用者要讀取這個目錄時，系統就會自動加以阻擋。

在產生報表之前，管理者必須先匯入系統的日誌檔，然後依照日期、IP或攻擊類型進行統計與分析，Web Protector具備長條圖、圓餅圖及曲線圖等圖形化分析報表，也是依照上述3個條件產生圖表，另外，也可以選擇將資料匯出成明細表或分組統計表。

微軟雖然已經加強IIS 6的安全性，但並不是每臺伺服器都能夠升級，特別是一些無法安裝更新檔的伺服器，或沒有能力修改網頁程式碼的公司，那就可以考慮使用Web Protector來守護IIS伺服器的安全。文⊙陳世煌